Будет ли WCF доверять учетным данным из ненадежного домена?

Question

У нас есть веб-сервер в демилитаризованной зоне, где размещается веб-сайт IIS. Сайт общается с промежуточным программным обеспечением в частном домене, на котором размещаются службы WCF.

Когда веб-сервер пытается связаться с промежуточным программным обеспечением через привязку TCP, мы получаем следующее сообщение об ошибке,

Сервер отклонил учетные данные клиента. Попытка входа не удалось.

Сайт использует учетную запись AppPool из частного домена (DMZ доверяет частному домену). Формы и анонимная аутентификация включены.

У меня вопрос, сможет ли сервер промежуточного программного обеспечения аутентифицировать действительные учетные данные (возможно, учетные данные appPool), даже если они получены из ненадежного домена (dmz) ??

Answer 1

@ marc_s прав в своем комментарии.Это не просто вещь WCF, хотя.это безопасность в целом.

Просто взгляните на это с концептуальной точки зрения: «аутентификация действительных учетных данных» - это не то, что происходит.Служба промежуточного программного обеспечения получает учетные данные.Вопрос в том, действительны ли эти учетные данные или нет.Чтобы определить действительность, он должен знать об этом или спросить что-то, что он доверяет, чтобы подтвердить это для него.Запрашиваемая ненадежная сторона не работает, так как вы не можете определить, является ли полученный ответ верным или нет.В вашем случае нет места, чтобы определить, действительны ли переданные учетные данные или просто случайный токен.

Если вы хотите разрешить пропуск непроверенных учетных данных, вам действительно следует удалить аутентификацию / авторизацию все вместе.